<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>

<c:import url="/view/include/header.jsp"/>
<!-- end--> 
<!-- container-->
<div id="container_2">
  <dl class="top_img">
    <dd class="top_visuall_title">
      <p class="top_visuall_txt"><img src="/images/common/sub_titleimg_1.gif" alt="현대엘리베이터는 공정하고 투명한 기업문화 조성을 위해 상생의 경영방식을 추구합니다." width="497" height="64"/></p>
      <p class="top_visuall_txt_2"><img src="/images/common/sub_titleimg_2.gif" alt="" width="404" height="109"/></p>
    </dd>
  </dl>
  <dl class="content">
    <dd> 
      <!-- left start-->
      <c:import url="/view/include/workLeft.jsp"/>
    </dd>
   <!-- end--> 
    <!-- sub content-->
  <dd>
      <div class="sub_content">
        <dl class="ethic_title">
          <dd class="location"><img src="/images/common/home_img.gif" alt="집" width="15" height="15"/></dd>
          <dd class="location_txt">HOME > 업무지원 > 업무규정 > 정보보안규정</dd>
        </dl>
        <dl class="img_ethic_box">
          <dd class="img_ethic"><img src="/images/work/SP_infosecurity.gif" alt="정보보안" width="166" height="23"/></dd>
        </dl>
        <dl>
          <dd class="pdf_btn_box">
            <p class="pdf_btn">
           <a href="../../../../../data/4/43/435_IM.pdf" onClick="Pop_info1(this.href);return false;" target="_new">
           <img src="/images/common/btn_PDF.gif" alt="제5장 기타" width="134" height="25"/></p>
          </dd>
          <dd class="ethic_btn_box">
            <p class="ethic_img_01"><a href="/view/work/rule/infoSecurity.jsp" onmouseout="MM_swapImgRestore()" onmouseover="MM_swapImage('Service1','','/images/work/SP_step_8_on.gif',1)"><img src="/images/work/SP_step_8_on.gif"  alt="제1장 총칙" width="107" height="30" name="Service1" id="Service1"/></a></p>
            <p class="ethic_img_01"><a href="/view/work/rule/infoSecurity01.jsp" onmouseout="MM_swapImgRestore()" onmouseover="MM_swapImage('Service2','','/images/work/SP_step_9_on.gif',1)"><img src="/images/work/SP_step_09.gif" alt="제2장 정보보안방침" width="164" height="30" name="Service2" id="Service2"/></a></p>
          </dd>
        </dl>
        <dl class="ethic_txt_box">
          <dd class="ethic_txt_01">
            <p class="ethic_txt_02"><a name="Security1"><img src="/images/work/Security_title_1.gif" alt="제1장 총칙" width="632" height="25"/></a></p>
          </dd>
           <dd class="ethic_txt_03">
             <p class="stand_txtb">제 1조  목 적 </p>
            <p class="stand_txt2">본 규정은 현대엘리베이터㈜ (이하 “회사”라 함) 의 자산에 대한 내∙외부로부터의 훼손, 변조, 도난, 유출 등의 다양한 형태의 위협으로부터 효과적으로 보호하기 위한 정보보안 상위 방침과 임직원이 준수하여야 할 정보보안 규정을 정함을 목적으로 한다.</p>
            <p class="height10"></p>
            <p class="stand_txtb">제 2조  적용 범위 </p>
            <p class="stand_txt2">본 규정은 회사에 근무하는 전 임직원을 대상으로 적용되며, 계약관계에 의하여 회사의 자산에 접근하는 모든 제3자에게도 적용된다.</p>
            
            <p class="stand_txtb">제 3조  용어 정의 </p>
            <p class="stand_txt7">1. 시스템관리자</p>
            <p class="stand_txt4">정보시스템의 운영 및 관리를 담당하는 자</p>
            <p class="stand_txt7">2. 정보보안 사고</p>
            <p class="stand_txt4">보호관리 대상에 속하는 정보 및 정보시스템이 무단으로 파괴되거나, 유출·변조되어 업무수행에 지장을 
              초래하는 사고</p>
            <p class="stand_txt7">3. 정보시스템</p>
            <p class="stand_txt4">컴퓨터의 본체, 주변장치 및 단말장치, 통신장비 등의 전부 또는 일부로써 구성되는 하드웨어 및
              소프트웨어 총칭</p>
            <p class="stand_txt7">4. 제 3자</p>
            <p class="stand_txt4">방문객, 피교육자, 일용근로자와 같이 임직원이 아닌 외부인 또는 회사와 계약관계에 있는
              타사(조직) 및 이에 속하는 직원 지칭</p>
            <p class="stand_txt7">5. 통제구역</p>
            <p class="stand_txt4">회사의 보안구역으로, 제한된 인원만 출입이 가능한 지역</p>
            <p class="height10"></p>
            <p class="stand_txtb"> 제 4조  책임사항</p>
            <p class="stand_txt2">회사의 정보보안에 대한 책임은 전 임직원에게 있으며 이를 위하여 정보보안 관련 규정을 모든 임직원이 숙지하여 준수하여야 한다. </p>
            <p class="stand_txt4">1. 모든 임직원이 본 규정의 내용을 숙지하여 생활화하기 위해서 적절한 교육이 시행되어야 하며,
              정보보안 담당부서는 이에 대한 책임이 있다.</p>
            <p class="stand_txt4"> 2. 법적, 규범적, 해당 감독기관의 요구사항이 만족되어야 한다.</p>
            <p class="stand_txt4">3. 정보보안 훈련이 모든 직원에게 적용되어야 한다.</p>
            <p class="stand_txt4">4. 정보보호에 대한 위반은, 실제적이거나 의심스러운 경우 모두 최고정보보호책임자에게 보고되어야
              하며, 최고정보보호책임자는 이를 면밀히 조사해야 한다.</p>
            <p class="stand_txt4">5. 최고정보보호책임자는 방침의 유지관리 및 이행을 위한 책임을 가진다.</p>
            <p class="stand_txt4"> 6. 모든 관리자들은 그들의 업무 범주내에서 방침의 이행에 대한 직접적인 책임을 가진다. </p>
            <p class="stand_txt4"> 7. 이 방침을 지키는 것은 모든 직원/고용인 각자의 책임이다.</p>
          </dd>
          <!-- <dd class="ethic_txt_01">
            <p class="ethic_txt_02"><a name="Security2"><img src="/images/work/Security_title_2.gif" alt="제2장 정보보안방침" width="632" height="25"/></a></p>
          </dd>
          <dd class="ethic_txt_03">
            <p class="stand_txtb">제 1조  정보보안 정의</p>
            <p class="stand_txt2">· 정보의 생성, 저장, 처리, 송신, 수신시에 발생할 수 있는 정보의 훼손, 변조, 유출 등을 비용 대비
              효과적으로 방지하여 정보에 대한 기밀성, 무결성, 가용성을 확보하는 것이다. </p>
            <p class="stand_txt4"> 1. 기밀성(Confidentiality) : 자산이 적절한 수준의 비밀성을 유지하면서 공개되지 않으며
              오직 인가된 사람만이 정보에 접근할 수 있다.</p>
            <p class="stand_txt4">2. 무결성(Integrity) : 자산의 고유 성질이 인가되지 않은 내부 또는 외부로부터 변경 또는
              변조되지 않고 정확성과 완전성을 유지할 수 있다.</p>
            <p class="stand_txt4"> 3. 가용성(Availability) : 인가된 사용자가 자산을 이용하고자 할 때 해당 자산의 이용가능한 정도를
              나타내며 해당 정보와 관련한 자산에 접근할 수 있음을 보장하는 것이다.</p>
            <p class="stand_txt2">회사는 정보를 보호하기 위하여 특정 방침, 지침, 절차, 조직 구조 및 소프트웨어 기능을 포함하는 적절한
              범위의 통제를 수행한다.</p>
            <p class="stand_txtb">제 2조  정보보안 목표</p>
            <p class="stand_txt2">· 정보보안의 목표는 회사 업무의 연속성을 보장하고, 정보보안 사고로 인한 시스템 및 자원의 피해를
              최소화하는 것이다. 이를 위하여 최고경영자는 정보보안의 중요성을 인식하여 이에 대한 최대한의 지원을
              하여야 한다. </p>
            <p class="stand_txtb">제 3조  정보보안 범위</p>
            <p class="stand_txt2">· 정보보안는 회사의 전 조직을 대상으로 한다. 정보보안 대상이 되는 회사의 자산은 다음을 포함한다. </p>
            <p class="stand_txt4"> 1. 정보자산 </p>
            <p class="stand_txt4"> 2. 문서자산 </p>
            <p class="stand_txt4"> 3. 소프트웨어 자산 </p>
            <p class="stand_txt4"> 4. 하드웨어 자산</p>
            <p class="stand_txt4"> 5. 기타 자산 </p>
            <p class="stand_txt2">· 회사가 책임이 있거나 통제를 하고 있는 외부의 공급자나 고객과의 모든 의사소통 인터페이스를 포함하며 회사가 고객에게 공급하여 고객 사이트에 위치한 장비 또한 회사의 자산이므로 정보보안 범위에 포함시킨다.</p>
            <p class="stand_txtb">제 4조  보안조직</p>
            <p class="stand_txt2"> 1. 정보보안 기반구조</p>
            <p class="stand_txt4">· 회사 내 정보보안 활동을 관리하기 위한 정보보안조직을 구성·운영하며, 각 구성원은 본인에게
              부여된 정보보안 책임과 역할을 성실히 이행하여야 한다. </p>
            <p class="stand_txt4">· 회사 대표이사는 정보보안에 대한 최종적인 책임이 있으며, 정보보안방침을 최종 결정한다. </p>
            <p class="stand_txt4">· 최고정보보호책임자는 임원급급으로 지정하며, 정보보안 업무를 총괄하며, 회사의 사업방향에
              기초한 정보보안 계획을 수립하여 시행하고 반기마다 점검한다. </p>
            <p class="stand_txt4">· 정보보안 담당부서는 정보보안 실무를 수행하는 중심 조직으로써 지속적인 정보보안 대책의 적용,
              정보보안 취약성 점검을 통한 정보보안 사고 예방 및 대응 지원 업무를 수행한다. </p>
            <p class="stand_txt4">·  부서별 정보보안담당자는 정보보안에 대한 부서별 특정 역할 및 책임을 수용하며 정보보담당부서와
              긴밀한 협조체제를 유지하여 부서내 자산관리와 정보보안 활동 수행 및 홍보 업무를 주도한다. </p>
            <p class="stand_txtb">제 5조  인적 보안</p>
            <p class="stand_txt2">· 1. 정보보안에 대한 책임과 역할</p>
            <p class="stand_txt4">· 모든 임직원은 매년 정보보안서약서를 제출하여야 하며, 업무상 취득한 회사 또는 제3자 소유의
              정보를 회사의 사전승인 없이 누설해서는 아니된다.</p>
            <p class="stand_txt4">· 회사는 고용을 확정하기 전에 입사 예정자에 대한 신원 확인 작업을 수행해야 한다.</p>
            <p class="stand_txt4"> · 퇴직시, 보안서약서를 작성하며, 내·외부 정보시스템에 접속을 제한하여야 한다. </p>
            <p class="stand_txt2"> 2. 임직원에 대한 정보보안 교육</p>
            <p class="stand_txt4">· 임직원들이 특정 보안 절차뿐만 아니라 정보보안을 시행하는 이유를 이해 시키기 위해서 
              정보보안 담당부서는 임직원 대상별 자체 정보보안 교육 계획을 매년 수립하여 시행하여야 한다.</p>
            <p class="stand_txt4">· 정보보안 담당부서는 본 규정을 포함한 정보보안 관련 규정의 변경이 발생한 경우 해당 임직원을
              대상으로 전달교육 및 공지를 실시하여야 한다.</p>
            <p class="stand_txt4">· 회사의 모든 임직원 및 정보보안 실무를 담당하는 인원에 대한 보안 교육을 정기적 또는
              비정기적으로 실시해야 한다. </p>
            <p class="stand_txt4">· 회사 내 전 임직원은 업무관련 소프트웨어의 올바른 사용을 위해, 우선적으로 정보보안 기능
              설명이 포함된 사용자 교육을 이수하여야 한다.</p>
            <p class="stand_txt2"> 3. 제3자 접근에 대한 보안</p>
            <p class="stand_txt4">· 제3자의 접근으로부터 회사의 정보시스템과 정보 자산을 보호하기 위해서 다음과 같은 통제를
              시행해야 한다.</p>
            <p class="stand_txt4">· 회사의 정보 또는 IT 시설에 대하여 제3자의 접근을 허용할 경우 정보보안 담당부서는 제3자의
              접근에 대한 보안 위험성 평가를 수행하여 접근을 요청하는 부서에게 보안통제를 적용하게 한 후
              제3자의 접근을 허용해야 한다.</p>
            <p class="stand_txt4">· 제3자 접근을 승인 할 시에는 접근을 요청하는 부서는 반드시 정보보안서약서를 징구하여야 하며,
              제3자에게 회사의 보안요구 사항을 주지시킬 의무가 있다.</p>
            <p class="stand_txt2"> 4. 외주용역</p>
            <p class="stand_txt4">· 외주용역 직원은 임직원과 동일한 수준의 정보보안 요구사항을 준수하여야 한다. </p>
            <p class="stand_txt4">· 제 3자와의 계약 필요시 계약서에는 준수하여야 할 회사 보안요구사항을 포함하여야 한다.</p>
            <p class="stand_txt4">· 회사의 정보시스템 및 네트워크의 일부 또는 전부를 외주업체와의 계약으로 제공받을 경우에도
            <p class="stand_txt4">· 표준계약서 내에 보안관련 문구가 포함될 수 있도록 한다.</p>
            <p class="stand_txt4">· 정보자산에 대한 접근은 해당 정보자산의 관리자가 허용하는 것을 원칙으로 한다.</p>
            <p class="stand_txt4">· 용역 업무를 관장하는 해당 부서장은 용역 인력 및 회사로부터 보안서약서를 반드시 받아야 한다.</p>
            <p class="stand_txt4">· 외주용역 업체 임직원에 대하여 보안방침, 지침, 절차의 준수 및 보안 책임을 주지시키기 위해
              필요한 교육을 실시하여야 한다.</p>
              
            <p class="stand_txtb">제 6조  침해사고 대응</p>
            <p class="stand_txt2">· 회사의 업무 활동을 방해하는 침해사고가 발생했을 때 이에 대한 효율적인 처리 및 복구를 위한
              대응체계를 갖추어 피해를 최소화하고, 업무수행 및 서비스 제공의 연속성을 확보하여야 한다.</p>
            <p class="stand_txt3"> 1. 침해사고 대응</p>
            <p class="stand_txt4">· 해킹·바이러스 등으로 인한 침해사고 발생에 대비하여 회사 전체에 걸쳐 침해사고 대응계획을
              개발하고 유지하기 위한 관리 프로세스가 수립되어야 한다.</p>
            <p class="stand_txt4">· 침해사고 대응계획은 침해사고 정의 및 범위, 대응체계(보고 및 조치 체계), 대응방법 및 절차,
              복구 방법 및 절차, 증거자료 수집 및 보관 등을 포함하여야 한다.</p>
            <p class="stand_txt4">· 침해사고 대응계획은 정기적으로 테스트되고 그 유효성이 검증되어야 한다.</p>
            <p class="stand_txt4">· 침해사고 대응계획의 변경 절차가 수립되어야 하며, 변경된 침해사고 대응계획을 관련 임직원에게
              교육하고 공지하여야 한다.</p>
            <p class="stand_txt3"> 2. 이용자 보호</p>
            <p class="stand_txt4">· 침해사고 예, 경보, 보안취약점(패치) 정보, 계정 및 비밀번호 관리 방안 등 정보보안에 관한
              정보를 이용자에게 제&nbsp;공하고 알림으로써 이용자를 보호하고 정보보안 수준 제고의 목적이 있다.</p>
            <p class="stand_txt4">· 회사 사업장 내의 모든 정보통신설비를 적용범위로 한다.</p>
            <p class="stand_txt4">· 사전에 고객 비상연락망과 메일링리스트를 보유하여 인터넷 침해사고 혹은 비상사고 발생으로
              인해 정보통신서비스의 장애가 발생하였을 경우에는 즉각적으로 이용자 전체에게 공지하여 피해를
              최소화하도록 한다.</p>
            <p class="stand_txt4">· 이용자에게 침해사고 예∙경보, 보안취약점, 계정∙비밀번호 관리방안 등의 정보를 지속적으로 
              제공한다. 이용자의 정보보안을 위해 보안관련 정보를 웹사이트, 게시판, 이메일 등 다양한
              방법을 통해 제공하도록 한다.</p>
            <p class="stand_txt4">· 계정 및 비밀번호 관리방안은 1회성으로 제공할 수 있지만, 침해사고 예∙경보나 보안 취약점
              정보는 최신의 정보를 받아볼 수 있도록 최신의 정보를 입수하여 즉시 제공할수 있도록 한다.</p>
            <p class="stand_txt4">· 이용자에게 지속적으로 정보를 제공하기 위해 담당자를 지정할 수 있으며, 담당자는 정보제공에
              대한 시행 계획을 수립하고 이에 의거하여 정보를 제공하도록 한다.</p>
            <p class="stand_txt4">· 정보보안과 관련한 정보제공 혹은 관계 기관 사이트 정보를 공지함으로써 이용자로 하여금
              정보보안 관련 사이트의 인지와 활용이 적극적으로 이루어질 수 있도록 한다.</p>
            <p class="stand_txt4">· 이용자들의 정보보안 관련 문의사항이나 조치를 취하기 위한 헬프 데스크(help desk) 등을
              운영한다.</p>
            <p class="stand_txtb">제 7조  정보보안조치 점검</p>
            <p class="stand_txt2"> 1. 회사의 모든 업무활동은 유관기관의 관계법령을 준수하여 이루어져야 하며, 최고정보보호책임자는
              유관기관의 관계 법령을 문서화하여 관리할 책임이 있다.</p>
            <p class="stand_txt2"> 2. 모든 임직원은 저작권, 라이센스, 지적재산권 보호규정을 준수하여 정품 출판물 및 소프트웨어
              제품을 사용하여야 한다.</p>
            <p class="stand_txt2">3. 회사의 기밀 자료는 손실, 파괴, 변조로부터 안전하게 보호되도록 조치하여야 하며, 관련 법규가
              정하는 바에 의하여 보관되어야 한다.</p>
            <p class="stand_txt2"> 4. 회사 정보시스템에 암호화를 적용할 경우 암호화는 관련 법규가 정하는 바에 의하여 사용되어야 한다.</p>
            <p class="stand_txt2"> 5. 보안사고 발생시 법적 대응을 위하여 침해를 증거 할 수 있는 자료에 대한 수집은 관련법규가
              정하는 바에 의하여 이루어져야 한다.</p>
            <p class="stand_txt2"> 6. 업무 수행상 개인정보의 수집이 필요한 경우 업무에 필요한 최소한의 개인정보만을 수집, 처리, 저장 
              및 활용하며, 업무수행과 무관한 사생활 관련정보는 수집해서는 안된다.</p>
            <p class="stand_txt2">7. 모든 개인정보는 사전에 인가된 목적으로만 사용되어야 하며, 오남용 방지를 위한 통제대책이
              적용되어야 한다.</p>
            <p class="stand_txt2">8. 모든 개인정보는 해당 정보제공자의 서면 동의나 법률에 의한 사직당국의 협조 요청에 의하지
              아니하고는 타인에게 공개할 수 없다.</p>
            <p class="stand_txt2">9. 각 부서장은 부서내에서 정보보안 규정이 제대로 준수되는지에 대한 자체점검을 수행할 책임이 있다.</p>
            <p class="stand_txt2"> 10. 최고정보보호책임자는 연간 정기 정보보안 감사계획을 수립하여 이행할 책임이 있다.</p>
            <p class="stand_txt2">11. 정보보안 담당부서는 정기 정보보안 감사 및 필요시 비정기 감사를 수행하여 정보보안 규정의
              준수여부를 확인하여야 한다.</p>
            <p class="stand_txt2">12. 정보보안 담당부서는 정보시스템에 대한 기술적 취약성 점검을 정기적으로 행하여야 하며, 취약성 
              점검 도구가 이용될시 이에 대한 접근은 엄격히 통제되어야 한다. </p>
            <p class="stand_txt2"> 13. 정보보안 담당부서는 보안 사고 및 정보시스템 기능장애 발생에 대비하여 보고 및 대응절차를 
              문서화하여야 한다. 여기서 보안 사고는 “회사의 자산이나 사업 운영에 손해를 줄 수 있거나
              회사의 보안 절차를 위배하는 행동”으로 정의한다. </p>
            <p class="stand_txt2">14. 모든 임직원은 보안 사고와 보안 체계의 약점(또는 약점으로 의심되는 것) 또는 정보시스템
              기능장애 발생 인지 즉시 정보보안 담당부서와 소속 부서장에게 규정된 절차에 의거 보고 해야 한다.</p>
            <p class="stand_txt2">15. 정보보안 담당부서는 보안 사고 또는 정보시스템 기능장애가 발생하거나 발생가능성이 있을 경우
              최고정보보호책임자의 지시하에 피해를 최소화하기 위한 조치를 신속히 취하여야 한다.</p>
            <p class="stand_txt2"> 16. 최고정보보호책임자는 보고된 보안 사고 및 정보시스템 기능장애 관련 자료를 분석하여 재발 방지를
              위한 노력을 하여야 한다. </p>
            <p class="stand_txt2"> 17. 보안 사고 발생시 사고가 내부자의 소행으로 판명될 경우 관련 사규에 따라 징계할 수 있다. </p>
            <p class="stand_txtb">제 8조  자산분류와 통제</p>
            <p class="stand_txt2"> 1. 회사의 모든 중요 자산을 적절히 보호하기 위해 자산 목록을 작성하고, 각 자산에 대한 관리자를
              명시해야 한다.</p>
            <p class="stand_txt2">2. 부서별 정보보안담당자는 부서내 정보시스템 자산을 자산목록 형태로 관리하여야 한다.</p>
            <p class="stand_txt2">3. 정보시스템 자산은 정보, 하드웨어, 소프트웨어, 문서, 기타 자산으로 구분되며, 각 자산에 대한
              보관장소, 소유자, 관리자 및 비밀성, 무결성, 가용성에 따른 등급이 자산목록에 명기되어야 한다. </p>
            <p class="stand_txt2"> 4. 정보보안 담당부서는 회사 자산에 대한 위험분석을 주기적으로 실시하여, 보호대책을 마련하여야 한다. </p>
            <p class="stand_txtb">제 9조  의사소통 및 운영 관리</p>
            <p class="stand_txt2"> 1. 운영 절차 및 책임</p>
            <p class="stand_txt4">· 정보보안담당자는 정보시스템 및 보안 시스템에 대한 운영 절차를 문서화하여 관리하여야 한다.</p>
            <p class="stand_txt4">· 정보시스템 기기, 응용 소프트웨어, 운영 프로그램의 변경 통제에 대한 절차가 규정되어
              준수되어야 한다.</p>
            <p class="stand_txt4">· 정보시스템의 오류, 서비스의 중단, 서비스 거부, 불완전한 데이터로 야기되는 오류, 비밀성 침해
              등이 발생할 경우 사고 처리를 위한 절차가 규정되어 준수되어야 한다.</p>
            <p class="stand_txt2"> 2. 직무 분리 </p>
            <p class="stand_txt4">· 정보자산과 서비스에 대한 비인가된 변조 또는 남용의 발생 가능성을 줄이기 위하여 시스템 
              운영과 정보보안 활동 직무는 분리되어 이루어져야 한다.</p>
            <p class="stand_txt4">· 중요한 시스템 및 프로세스에 대한 직무는 분리되어야 한다.</p>
            <p class="stand_txt4">· 여러 시스템에 대한 사용자의 접근 권한은 연1회 이상 정기적으로 검토되어야 한다. </p>
            <p class="stand_txt2"> 3. 개발과 운영 환경의 분리 </p>
            <p class="stand_txt4">· 개발 또는 운영 환경에 있어 개발 및 운영 시설은 분리되어야 한다.</p>
            <p class="stand_txt4">· 프로그램 개발 및 테스트 행위는 운용시스템과 분리되어 이루어져야 하며, 운용시스템 이관 전
              충분한 테스트 및 관리자의 승인을 득하여 적용하여야 한다.</p>
            <p class="stand_txt2">4. 시스템 계획 </p>
            <p class="stand_txt4">· 시스템 관리자는 적절한 저장 능력 및 정보처리 능력을 가질 수 있도록 시스템의 처리속도와 
              사용 용량에 대하여 주기적으로 모니터링을 실시하여 기록·관리하고, 향후 필요 용량에 대한 계획이
              세워져야 한다.</p>
            <p class="stand_txt2"> 5. 네트워크 모니터링 </p>
            <p class="stand_txt4">· 네트워크관리자는 평소 네트워크 트래픽을 모니터링하여야 하며, 이상징후 발견 시 보안 담당자에게
              보고하고 신속하게 대응하여야 한다.</p>
            <p class="stand_txt2"> 6. 시스템 유지 관리</p>
            <p class="stand_txt4">· 정보에 대한 백업</p>
            <p class="stand_txt4"> 시스템 관리자 및 백업 담당자는 중요한 정보와 소프트웨어에 대한 백업 계획을 수립하여 백업 및 
              복구테스트를 주기적으로 행하여야 한다.</p>
            <p class="stand_txt4">· 운영 로그</p>
            <p class="stand_txt4"> 시스템관리자 및 정보보안 담당부서는 시스템 운영로그를 보관·관리하며 이를 주기적으로
              분석하여야 한다. </p>
            <p class="stand_txt4">· 오류에 대한 로깅</p>
            <p class="stand_txt4">시스템 관리자 및 정보보안 담당부서는 시스템의 오류에 대한 로깅을 실시하고, 관리하며 이를
              주기적으로 분석하여야 한다. </p>
            <p class="stand_txt4">· 네트워크 관리</p>
            <p class="stand_txt4"> 네트워크상의 정보와 기반 구조를 보호하기 위하여 컴퓨터 네트워크 접근은 통제되어야 하며,
              내·외부 네트워크는 보안시스템으로 분리되어야 한다.
              또한 데이터베이스 서버와 웹 서버는 보안시스템으로 분리되어야 한다.</p>
            <p class="stand_txt4">· 저장 매체 폐기 </p>
            <p class="stand_txt4">회사 소유의 저장 매체를 폐기할 경우 저장내용을 식별할 수 없도록 소각, 완전파쇄등의 방법을
              사용하여 폐기하여야 한다. 
              컴퓨터 시스템을 폐기할 때는 그 시스템의 기억 장치 내의 모든 자료를 삭제하고,
              하드디스크는 파괴하거나 포맷하여야 한다. 또한 민감하거나 중요한 정보가 있는 보고서의 폐기는
              반드시 파쇄기를 이용해 파쇄되어야 한다.</p>
            <p class="stand_txt4">· 시스템 관련 문서의 보안 </p>
            <p class="stand_txt4">시스템관리자는 시스템 운영 문서를 비인가된 접근으로부터 보호하기 위하여 물리적으로 안전한 
              장소에 보관하여야 하며, 전자적 형태의 파일의 경우 접근통제를 실시하여 인가된 사람만이 
              접근할 수 있도록 조치하여야 한다. </p>
            <p class="stand_txt4">· 인터넷 보안</p>
            <p class="stand_txt4">전자거래시스템 등과 같이 인터넷 기반의 서비스를 이용할 경우 정보의 변조, 공개, 계약부인과 
              같은 위협으로부터 보호 받을 수 있는 통제대책을 적용하여야 한다.</p>
            <p class="stand_txt4">· 전자 우편 보안</p>
            <p class="stand_txt4"> 임직원은 회사 또는 고객과 관련된 민감하거나 중요도가 높은 정보는 인터넷을 이용한
              전자 우편의 형태로 전달해서는 안 된다. 파일을 첨부하거나 첨부된 파일을 받기 전에 항상
              바이러스 감염 여부를 검사해야 한다.</p>
            <p class="stand_txt4"> · 일반에게 공개된 시스템</p>
            <p class="stand_txt4">일반인에게 공개되는 전자적인 정보에 대한 무결성 확보 방안이 적용되어야 한다.
              일반인에게 공개되는 전자적 형태의 정보(회사 홈페이지 등에 수록된 정보)는 관련 법규에 준하여 
              보호하여야 한다.
              정보를 일반인에게 공개할 경우 관리자의 승인을 득한 후 공개하여야 한다.
              민감한 정보의 경우 정보 수집 시 또는 저장 시에도 보호되어야 한다.</p>
            <p class="stand_txtb">제 10조  접근 통제</p>
            <p class="stand_txt2"> 1. 접근 통제 정책</p>
            <p class="stand_txt4">회사 정보자산의 비인가적인 침해를 방지하기 위하여 정보자산 등급에 따른 접근통제 정책이
              수립되어 시행되어야 한다.</p>
            <p class="stand_txt4">모든 정보시스템은 반드시 사용자 인증과정을 거쳐야 접근이 가능하도록 하여야 한다</p>
            <p class="stand_txt2"> 2. 네트워크 분리</p>
            <p class="stand_txt4"> 업무특성 또는 보안요구 사항에 따라 필요한 경우 네트워크는 분리되어 운영되어야 한다.</p>
            <p class="stand_txt4">내부망과 외부망은 분리되어야 한다. </p>
            <p class="stand_txt4">웹 서버와 데이터베이스 서버는 분리되어야 한다.</p>
            <p class="stand_txt2"> 3. 운영체제 접근 제어</p>
            <p class="stand_txt4">정보보안 측면에서 필요할 경우 자동 단말기 식별기능(IP Address에 의한 통제 등)을 적용하여 
              특정 위치에서의 연결만을 허용하며, 원격 접속시, 루트 권한으로 접근할 수 없다.</p>
            <p class="stand_txt4">관리자 계정 및 패스워드는 8자 이상으로 한다. 단 설정가능한 자리수가 8자리 미만일 때는 설정
              가능한 최대의 자리수로 설정한다.</p>
            <p class="stand_txt2">4. 이동 컴퓨팅(Mobile Computing )</p>
            <p class="stand_txt4"> 노트북 PC 등과 같은 휴대용 컴퓨터의 사외 사용시 사용자는 절도와 같은 물리적 위협 및 비인가된
              논리적 접근으로부터 기기를 보호할 수 있도록 조치를 취하여야 한다.</p>
            <p class="stand_txtb">제 11조  물리적 보안</p>
            <p class="stand_txt2"> 1. 통제 구역</p>
            <p class="stand_txt4">중요정보가 보관되거나 처리되는 지역은 사전에 통제구역으로 설정되어야 하며, 관리책임자를
              정하여 이를 관리하여야 한다.</p>
            <p class="stand_txt4">통제구역은 비인가된 접근이나 손상을 방지하기 위하여 별도의 출입통제 장치 및 감시시설,
              재해방지 시설 등을 갖추어야 한다.</p>
            <p class="stand_txt2"> 2. 보안구역의 출입통제 관리</p>
            <p class="stand_txt4">보안구역은 출입자격자와 비자격자를 구분하여 보안구역별 출입자격자 명단을 관리하여야 한다.</p>
            <p class="stand_txt4">보안구역을 관리하는 책임자는 보안구역 출입자격자 명단에 대한 적합성 여부를 주기적으로
              점검하여야 한다.</p>
            <p class="stand_txt4">보안 구역 내에서 일하거나 보안 구역에 접근하는 회사 직원은 항상 그 구역 내에서 요구되는
              절차에 따라야 한다.</p>
            <p class="stand_txt4"> 비자격자의 보안구역 출입 필요할 경우 출입은 반드시 자격자와 동행하여 비자격자의 작업을 
              종료시까지 감시하며, 장비가 반출입될 경우 ‘보안구역 장비 반출입 신청서’에 반출입물품을 
              명시하여야 한다. </p>
            <p class="stand_txtb">제 12조  환경적 보안</p>
            <p class="stand_txt2"> 1. 정보시스템 기기 보안 관리</p>
            <p class="stand_txt4">정보시스템 기기들은 적절히 보호된 상태로 설치되어야 하고, 비인가된 접근과 환경적 위해 
              요소로부터 보호될 수 있는 곳에 위치하여야 한다.</p>
            <p class="stand_txt2">2. 장비의 처분과 재사용 과정에서의 보안</p>
            <p class="stand_txt4">장비를 폐기하거나 재사용하려 할 때는 모든 정보를 정보시스템으로부터 적절한 방법으로 삭제해야
              한다. 특히 민감한 정보를 담고 있는 저장 매체를 폐기 또는 재사용시 수록된 정보를 삭제 또는 
              덮어쓰기 등의 방법을 사용하여 정보 유출을 예방하여야 한다. </p>
            <p class="stand_txt2"> 3. 책상 정리 및 화면 보호 정책</p>
            <p class="stand_txt4">퇴근시나 장기 출타시 민감한 즉 회사의 대외비나 기밀 사항을 담고 있는 문서는 책상위 등에 
              방치되어서는 안되며, 시건 장치가 부착된 문서보관함에 보관되어야 한다. </p>
            <p class="stand_txt4">퇴근시나 장기 출타시 문서가 책상 위에 남겨져 있어서는 안 된다.</p>
            <p class="stand_txt4">패스워드가 설정된 화면보호기를 사용하여 10분 이상 시스템을 사용하지 않는 경우 자동으로 
              화면이 잠기도록 하여야 한다. 시스템 사용을 재개할 때는 다시 패스워드를 입력하고 사용하도록 
              해야 한다.</p>
            <p>&nbsp;</p>
            <p class="stand_txtb">부   칙 </p>
            <p class="stand_txt2"><strong>시행일</strong>:<span class="f_gray10"> 이 규정의 시행일은 최고경영자의 승인 시점일로부터 시행한다.</span></p>
            <p class="stand_txt2"><strong>예외적용</strong></p>
            <p class="stand_txt2"> 다음 각 호에 해당하는 경우에는 본 규정에서 명시한 내용일지라도 정보보안 관리자의 승인을 받아
              예외 취급할 수 있다.</p>
            <p class="stand_txt2"><span class="f_gray10"> - 기술환경의 변화로 적용이 불가능할 경우</span></p>
            <p class="stand_txt2"><span class="f_gray10"> - 기술적, 관리적 필요에 따라 지침의 적용을 보류할 긴급한 사유가 있을 경우</span></p>
            <p class="stand_txt2"><span class="f_gray10"> - 기타 재해 등 불가항력적인 상황일 경우</span></p>   -->    
        </dl>
      </div>
    </dd>
  </dl>
  <!-- end--> 
  
  <!-- footer start-->
  <c:import url="/view/include/footer.jsp"/>
  
  <!-- end--> 
</div>

